搜索
楼主: chen月
收起左侧

[求助] 咖啡个人版怎么样?防护能力和流畅度如何?用过的来说说

[复制链接]
Miostartos
发表于 3 天前 | 显示全部楼层
本帖最后由 Miostartos 于 2020-10-17 17:13 编辑
BFAX 发表于 2020-10-17 17:00
so~那么写入监控咖啡个人版有?

是你一直在强调写入读写监控才是文件实时监控
而我已经给你举了例子这根本是你臆断的定义。
无论是写入还是读取监控,咖啡个人版有?
最根本的问题是文件实时监控有没有用吧
我就问即使站在咖啡的立场上说没有用,企业版为什么又要有呢?

你把你这三句话连起来读读看?你意思不就是写入读取咖啡没有,咖啡认为文件实时监控没用,咖啡没有写入读取监控,所以写入读取监控才叫实时监控?
你不但预设了立场,还自己臆断了定义,然后拿着这个你自己认为的定义到处胡说八道。
我上边也补充说了你可以在执行时拦截,但如果你没拦截住主程序导致文件被有毒的文件替换,你又没有读写监控,你怎么办,回滚空气?

没有哪家的文件实时监控是包括行为的,那是行为主动防御的范畴,所以回滚关你写入扫描防护什么事情?你真是越说越暴露水平。
我告诉你怎么证明他咖啡这个方式有问题
找一个样本,扫描能杀,执行没反应跑起来了或者被主防用行为杀掉而不是特征杀,并且这个样本不是利用咖啡本身程序漏洞做的免杀。
那就可以证明他这个方式有问题。
而现在你除了暴露你欠缺计算机系统知识之外没办到别的事情。
记录微笑
发表于 3 天前 | 显示全部楼层
BFAX 发表于 2020-10-17 17:04
宁的电脑基础知识可真好,真是想笑
扫描也miss了当然没办法,但是你扫描不miss读写能够发现,那么被替换 ...

怕你懒,我把咖啡文档里面的话给你复制过来

首先时对于主防Real Protect 的描述
Real Protect 扫描 — 执行自动行为分析。
Real Protect 检查客户端系统上的可疑文件和活动,并使用机器学习技术检测恶意模式。 Real Protect 基于客户端和基于云的扫描包括 DLL 扫描,以阻止受信任的进程加载不受信任的 PE 和 DLL 文件
然后是增强补救
增强型补救 — 如果进程未知,增强型补救会监控其行为并记录该进程创建的所有文件,以及该进程更改删除所有文件(可选)。如果被监控的进程表现出恶意行为,增强型补救会停止该进程及其子进程和祖先进程,并回滚其所作的更改,从而将系统还原至尽可能接近该进程运行之前系统所处的原始状态。


Miostartos
发表于 3 天前 | 显示全部楼层
记录微笑 发表于 2020-10-17 17:14
怕你懒,我把咖啡文档里面的话给你复制过来

首先时对于主防Real Protect 的描述

你绕远了
这是行为主动防御的事情,不关文件实时监控的事情
都不是一个东西了,我还没见过谁家文件实时监控还会监控程序行为的
记录微笑
发表于 3 天前 | 显示全部楼层
Miostartos 发表于 2020-10-17 17:15
你绕远了
这是行为主动防御的事情,不关文件实时监控的事情
都不是一个东西了,我还没见过谁家文件实时 ...

他怀疑的是执行监控会影响咖啡整体防御水平。

实际上,对于咖啡来说,执行监控非常安全。而且咖啡的执行监控,RP也会参与,所以实际上没有绕远。
Miostartos
发表于 3 天前 | 显示全部楼层
本帖最后由 Miostartos 于 2020-10-17 17:27 编辑
记录微笑 发表于 2020-10-17 17:17
他怀疑的是执行监控会影响咖啡整体防御水平。

实际上,对于咖啡来说,执行监控非常安全。而且咖啡的执 ...

咖啡安不安全我不评价,有好一段时间没用咖啡了
我只是觉得好笑
连DLL文件是可执行文件的一种都不知道就敢说
谁跟你说文件不执行就是死病毒的?各种dll啥的样本区很常见吧,你知不知道还有无文件病毒呢?

其实我蛮好奇有什么病毒不执行也能造成危害的
而且千说万说,realprotect那总归是主防,就算参与执行监控他其实也不是文件实时监控的范畴
记录微笑
发表于 3 天前 | 显示全部楼层
Miostartos 发表于 2020-10-17 17:23
咖啡安不安全我不评价,有好一段时间没用咖啡了
我只是觉得好笑
连DLL文件是可执行文件的一种都不知道 ...

我是觉得很奇怪,为什么会有这种奇怪的想法。
咖啡个人版AVT测试是满分,怎么可能因为执行监控漏毒。

顺便补充下刚才的RP执行前扫描内容
已加载可移植可执行文件 (PE) DLL 或 exe 文件以便在进程中执行。
ATP 会检查排除项,以确定是否检查文件。
ATP 会检查文件并收集相关的文件和本地系统属性。
ATP 检查文件哈希的本地信誉缓存。
如果文件哈希在本地信誉缓存中,则 ATP 从缓存获取文件的流行度和信誉数据并采取相关的操作。
如果文件哈希不在缓存中,则 ATP 从 TIE 服务器或 McAfee GTI 获取文件的流行度和信誉数据。
有关信息,请参阅 TIE 服务器文档。

如果 Advanced Threat Defense 存在且已启用,请参阅下文的如果沙盒已启用 (Advanced Threat Defense)。
附注: MVISION ePO 中的沙盒选项仅在 TIE 获得许可时可用。
如果 ATP 规则确定了信誉,ATP 会使用最新信誉信息更新 TIE 服务器并采取相关的操作。
如果 ATP 没有信誉,则 Real Protect 基于客户端的扫描程序会扫描文件。
如果 Real Protect 基于客户端的扫描程序确定了信誉,则 ATP 会使用最新信誉信息更新 TIE 服务器并采用相关的操作。
如果 Real Protect 基于客户端的扫描程序未确定信誉,则文件信誉为未知(50)。 ATP 可能会提示用户,然后允许进程启动并开始执行后监控。
Miostartos
发表于 3 天前 | 显示全部楼层
记录微笑 发表于 2020-10-17 17:28
我是觉得很奇怪,为什么会有这种奇怪的想法。
咖啡个人版AVT测试是满分,怎么可能因为执行监控漏毒。

...

测试那种不谈,就说漏毒的事情
他这种漏毒要求还严苛
首先扫描能扫出来,然后实时监控反而没反应。
说实话这种事情除了钻杀软自己的漏洞之外,以我的水平想不到其他方法。
那意义是啥,单独攻击某个公司才会用这种高级而且效费比低下的手段,个人用户压根遇不到,搞这种不如做广谱免杀,又不是只有McAfee一个杀毒软件。

记录微笑
发表于 3 天前 | 显示全部楼层
Miostartos 发表于 2020-10-17 17:33
测试那种不谈,就说漏毒的事情
他这种漏毒要求还严苛
首先扫描能扫出来,然后实时监控反而没反应。

我是不知道他对执行监控的理解是什么
Miostartos
发表于 3 天前 | 显示全部楼层
记录微笑 发表于 2020-10-17 17:37
我是不知道他对执行监控的理解是什么

按他那说法就是跑起来会漏
如果扫描都不杀那压根没差,管你带不带什么写入读取监控,因为毒库压根不识别。
那可不就只有扫描杀跑起来不杀的那种。说实话漏这种的话我觉得只能是本身监控有BUG或者漏洞才行
BFAX
发表于 3 天前 来自手机 | 显示全部楼层
记录微笑 发表于 2020-10-17 17:06
被替换文件,主动防御会自动记录被替换哪些文件并且备份,然后回滚时恢复。

这是咖啡的知识库里面写的 ...

前提难道不是你发现了替换文件是恶意文件?

咖啡的知识库里好像没有写没发现恶意的文件替换也会被回滚吧,那系统还用不用了?

宁了解的多,就了解到这个?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 晋ICP备20004298号-1 ) GMT+8, 2020-10-20 14:31 , Processed in 0.089371 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表